Comment s'y prendre ?

Avant de se lancer dans l'élaboration d'une politique de sécurité des informations, il faut bien sûr savoir ce qu'est une "information sécurisée" ou en d'autres termes ce qu'est la "sécurité de l'information". Si la qualité de certaines informations peut s'avérer vitale pour la survie d'une entreprise, leur exactitude peut l'être tout autant et il vaut parfois mieux ne pas communiquer d'informations plutôt que de communiquer des informations inexactes.

Supposez que le grand magasin dans lequel vous faites vos courses annonce que dans le cadre d'une grande campagne publicitaire tous les clients qui ont leur anniversaire ont droit à un cadeau. Malheureusement pour vous, le magasin perd les données de toute une série de clients, dont les vôtres, et tous les clients dont les données ont été perdues n'ont pas droit à ce cadeau. Imaginez la contre-publicité que cette situation va entraîner pour ce magasin et tout ce qu'il devra en œuvre pour récupérer les clients perdus …

Des informations de bonne qualité sont donc des informations exactes, bien protégées et sûres. 

Cette sécurité de l'information peut être testée sur la base de sept caractéristiques aussi appelées attributs de sécurité qui sont les suivants. La confidentialité : seules les personnes y habilitées ont accès aux informations, l'intégrité : les informations ne peuvent pas être modifiées intentionnellement ou non intentionnellement, la disponibilité: les informations sont accessibles et utilisables chaque fois qu'une personne y habilitée le demande, l'imputabilité : signifie qu'on dispose toujours d'une trace de l'auteur et du traitement à proprement parler de l'information, la non-répudiation : elle permet de prouver qu'un traitement ou un événement a réellement eu lieu et d'empêcher qu'ils ne soient niés ultérieurement, l'authenticité : qui prouve qu'une personne est bien celle qu'elle prétend être et enfin la fiabilité qui désigne le fait d'atteindre le résultat escompté. Lorsque des informations possèdent ces sept attributs, elles peuvent être qualifiées de sécurisées et donc de qualité.

Dès que les informations contiennent aussi des données à caractère personnel, la Loi vie privée entre en jeu et s'applique. Cette loi, va un pas plus loin encore et fixe des conditions supplémentaires auxquelles les informations qui contiennent des données à caractère personnel doivent satisfaire pour être sûres et protégées. Elles doivent, ainsi, entre autres, être traitées loyalement et licitement, être collectées pour des finalités déterminées, être adéquates, pertinentes et non excessives, être exactes et si nécessaire être régulièrement mises à jour et elles ne peuvent pas être conservées plus longtemps que nécessaire.

Toute entreprise ou organisation doit aussi prendre une série de mesures pour protéger suffisamment les données à caractère personnel qu'elle traite. Elle doit déclarer ses traitements à la Commission vie privée, respecter les droits des personnes concernées, veiller à ce que les données soient en permanence exactes ou les supprimer le cas échéant, veiller à ce que seuls les traitements nécessaires à la réalisation de la finalité poursuivie soient effectués, limiter l'accès aux données à caractère personnel aux personnes y habilitées (autorisation), protéger les données aussi longtemps qu'elles existent et si elle confie le traitement de ces données à un tiers veiller à ce que ce dernier reprenne contractuellement toutes ces obligations et responsabilités.

La Loi vie privée nous octroie donc le droit à la protection de nos données à caractère personnel et impose que cette protection passe par la prise de toute une série de mesures de sécurité.